CVE-2025-14164: CSRF in Quran Gateway WordPress Plugin

यह भेद्यता हमलावरों को साइट व्यवस्थापक के विशेषाधिकारों का लाभ उठाने की अनुमति देती है, जिससे वे प्लगइन की सेटिंग्स को मनमाने ढंग से बदल सकते हैं। यह वेबसाइट के प्रदर्शन को प्रभावित कर सकता है, संवेदनशील जानकारी को उजागर कर सकता है, या वेबसाइट को दुर्भावनापूर्ण गतिविधियों के लिए उपयोग किया जा सकता है। हमलावर एक दुर्भावनापूर्ण लिंक बनाकर या एक स्क्रिप्ट का उपयोग करके व्यवस्थापक को धोखा दे सकते हैं जो स्वचालित रूप से एक अनुरोध भेजता है। चूंकि यह CSRF भेद्यता है, इसलिए हमलावर को व्यवस्थापक को कार्रवाई करने के लिए प्रेरित करने की आवश्यकता होती है, जैसे कि किसी लिंक पर क्लिक करना।

WordPress websites utilizing the Quran Gateway plugin, particularly those with multiple administrators or shared hosting environments, are at increased risk. Sites with outdated plugin versions and inadequate security practices are especially vulnerable.

• wordpress / composer / npm:

grep -r "quran_gateway_options" /var/www/html/wp-content/plugins/

• generic web:

curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=quran_gateway_options | grep -i "csrf token"

1. 2025-12-20Disclosure

   disclosure

1. आरक्षित2025-12-05
2. प्रकाशित2025-12-20
3. संशोधित2026-04-08
4. EPSS अद्यतन2026-03-23

इस भेद्यता को कम करने के लिए, सबसे अच्छा तरीका है कि आप कुरान गेटवे प्लगइन को नवीनतम संस्करण में अपडेट करें। यदि तत्काल अपडेट संभव नहीं है, तो आप अस्थायी रूप से एक वेब एप्लिकेशन फ़ायरवॉल (WAF) नियमों का उपयोग कर सकते हैं ताकि CSRF हमलों को रोका जा सके। WAF नियमों को इस तरह से कॉन्फ़िगर किया जाना चाहिए कि वे सभी अनुरोधों को मान्य करें जिनमें प्लगइन की सेटिंग्स को बदलने के लिए डिज़ाइन किया गया है। इसके अतिरिक्त, सुनिश्चित करें कि आपके वर्डप्रेस इंस्टॉलेशन में nonce सत्यापन ठीक से लागू किया गया है। अपडेट के बाद, प्लगइन की सेटिंग्स की समीक्षा करके और यह सुनिश्चित करके सत्यापित करें कि कोई अनधिकृत परिवर्तन नहीं किए गए हैं।